DocsSicherheitZugangsdatentresor
Zurück zur Doku
Sicherheit

Zugangsdatentresor

Speichern und verwalten Sie API-Schlüssel, SSH-Schlüssel und Token sicher mit YeePilots integriertem verschlüsseltem Tresor

Zuletzt aktualisiert: 1. März 2026

YeePilot enthält einen integrierten verschlüsselten Tresor zum Speichern all Ihrer sensiblen Zugangsdaten -- API-Schlüssel, SSH-Schlüssel, Token und Passwörter. Der Tresor hält Ihre Geheimnisse im Ruhezustand verschlüsselt und entschlüsselt sie nur, wenn Sie ihn ausdrücklich entsperren.

Erste Schritte

Den Tresor initialisieren

Richten Sie den Tresor mit einem Master-Passwort ein:

bash
yeepilot vault init

Sie werden aufgefordert:

  1. Eine Entsperrmethode zu wählen (Passwort, PIN, YubiKey oder YubiKey+PIN)
  2. Ihre Master-Zugangsdaten festzulegen
  3. Die Zugangsdaten zu bestätigen

Der Tresor wird erstellt und ist sofort einsatzbereit.

Tresorstatus prüfen

bash
yeepilot vault status

Dies zeigt an, ob der Tresor initialisiert ist, gesperrt oder entsperrt ist, die Anzahl der gespeicherten Zugangsdaten und Ihre konfigurierte Entsperrmethode.

Zugangsdaten speichern

Zugangsdaten hinzufügen

bash
yeepilot vault add

Sie werden nach Folgendem gefragt:

  • Name -- eine beschreibende Bezeichnung (z.B. "production-db-password", "aws-api-key")
  • Typ -- die Art der Zugangsdaten (API-Schlüssel, SSH-Schlüssel, Passwort, Token)
  • Wert -- das Geheimnis selbst (Eingabe wird verborgen)

Beispiel:

bash
$ yeepilot vault add
Name: digitalocean-api-token
Type: API key
Value: ****
Credential stored successfully.

Gespeicherte Zugangsdaten auflisten

bash
yeepilot vault list

Dies zeigt die Namen und Typen aller gespeicherten Zugangsdaten an, ohne ihre Werte preiszugeben:

plaintext
Credentials in vault:
  1. digitalocean-api-token    (API key)
  2. production-db             (password)
  3. deploy-server             (SSH key)
  4. github-pat                (token)

Entsperren und Sperren

Den Tresor entsperren

bash
yeepilot vault unlock

Sie werden nach Ihren Master-Zugangsdaten gefragt. Einmal entsperrt, sind die Zugangsdaten innerhalb von YeePilot-Sitzungen verfügbar.

Entsperren und Sperren in der Sitzung

Verwenden Sie während einer interaktiven YeePilot-Sitzung Slash-Befehle:

plaintext
/unlock              # Mit Master-Passwort-Aufforderung entsperren
/unlock mypassword   # Direkt mit Passwort entsperren (mit Vorsicht verwenden)
/lock                # Den Tresor sofort sperren

Automatische Sperre

Der Tresor sperrt sich nach einer Periode der Inaktivität automatisch, um Ihre Zugangsdaten zu schützen, wenn Sie sich vom Arbeitsplatz entfernen:

yaml
vault:
  auto_lock_duration: 15m    # Nach 15 Minuten Inaktivität sperren (Standard)

Passen Sie die Dauer an oder deaktivieren Sie die automatische Sperre:

yaml
vault:
  auto_lock_duration: 30m    # Nach 30 Minuten sperren
  auto_lock_duration: 0      # Automatische Sperre deaktivieren (nicht empfohlen)

Entsperrmethoden

YeePilot unterstützt mehrere Entsperrmethoden, die Ihren Sicherheitsanforderungen entsprechen:

Passwort

Die Standardmethode. Setzen Sie ein starkes Master-Passwort während vault init.

bash
yeepilot vault init
# Choose: password
# Enter password: ********

PIN

Eine numerische PIN zum schnelleren Entsperren. Am besten geeignet für Entwicklungsumgebungen.

bash
yeepilot vault init
# Choose: PIN
# Enter PIN: ******

YubiKey

Hardware-basierte Authentifizierung mit einem YubiKey-Sicherheitsschlüssel. Bietet den stärksten Schutz, da der Tresor nicht ohne physischen Besitz des Schlüssels entsperrt werden kann.

bash
yeepilot vault init
# Choose: YubiKey
# Touch your YubiKey when prompted...

YubiKey + PIN

Kombiniert Hardware-Authentifizierung mit einer PIN für Zwei-Faktor-Schutz. Sowohl der physische YubiKey als auch die korrekte PIN sind zum Entsperren des Tresors erforderlich.

bash
yeepilot vault init
# Choose: YubiKey+PIN
# Enter PIN: ******
# Touch your YubiKey when prompted...

Zugangsdaten verwenden

SSH-Verbindungen

Verbinden Sie sich mit Servern mithilfe von im Tresor gespeicherten SSH-Schlüsseln:

bash
yeepilot vault connect

Ihnen wird eine Liste gespeicherter SSH-Schlüssel zur Auswahl präsentiert. YeePilot stellt die Verbindung mit dem ausgewählten Schlüssel her, ohne ihn auf die Festplatte zu schreiben.

KI-Anbieter-Schlüssel

Wenn Sie KI-Anbieter-API-Schlüssel im Tresor speichern, kann YeePilot sie beim Starten einer Sitzung automatisch abrufen, sodass Sie API-Schlüssel nicht in Ihrer Konfigurationsdatei aufbewahren müssen.

Zugriff in der Sitzung

Wenn der Tresor während einer interaktiven Sitzung entsperrt ist, kann die KI auf gespeicherte Zugangsdaten verweisen, wenn Sie sie bitten, Aufgaben auszuführen, die diese benötigen. Zum Beispiel:

plaintext
> Deploy the latest release to the production server using the deploy-server SSH key

YeePilot ruft den SSH-Schlüssel aus dem Tresor ab und verwendet ihn für die Verbindung, ohne den Schlüssel jemals im Terminal oder der Befehlshistorie preiszugeben.

Zugangsdatenrotation

Rotieren Sie Zugangsdaten, die regelmäßig aktualisiert werden müssen:

bash
yeepilot vault rotate

Dies führt Sie durch die Auswahl einer Zugangsdaten und deren Ersetzung durch einen neuen Wert. Der alte Wert wird sicher überschrieben.

Brute-Force-Schutz

Der Tresor enthält Schutz gegen Brute-Force-Entsperrversuche:

  • Nach jedem fehlgeschlagenen Versuch erhöht sich die Verzögerung bis zum nächsten Versuch
  • Nach 15 aufeinanderfolgenden fehlgeschlagenen Versuchen kann der Tresor optional alle gespeicherten Zugangsdaten löschen

Dies schützt Ihre Geheimnisse, selbst wenn jemand Zugang zu Ihrer Terminalsitzung erhält.

Löschverhalten konfigurieren:

yaml
vault:
  wipe_after_failed_attempts: 15    # Nach 15 Fehlversuchen löschen (Standard)
  wipe_after_failed_attempts: 0     # Löschen deaktivieren (stattdessen permanent sperren)

Warnung: Wenn das Löschen aktiviert ist, zerstört das Überschreiten des Fehlversuchlimits alle gespeicherten Zugangsdaten dauerhaft. Stellen Sie sicher, dass Sie Backups kritischer Geheimnisse an einem sicheren Ort aufbewahren.

Konfigurationsreferenz

Vollständige Tresor-Konfiguration in ~/.yeepilot/config.yaml:

yaml
vault:
  enabled: true                      # Den Zugangsdatentresor aktivieren
  start_locked: true                 # Sitzungen mit gesperrtem Tresor starten (Standard: true)
  auto_lock_duration: 15m            # Automatische Sperre nach Inaktivität (Standard: 15m)
  wipe_after_failed_attempts: 15     # Nach N fehlgeschlagenen Entsperrversuchen löschen (0 zum Deaktivieren)

Best Practices

  • Verwenden Sie ein starkes Master-Passwort -- Ihr Tresor ist nur so sicher wie seine Entsperr-Zugangsdaten
  • Aktivieren Sie die automatische Sperre -- halten Sie die automatische Sperre immer aktiviert, insbesondere auf gemeinsam genutzten oder Produktionsservern
  • Bevorzugen Sie YubiKey für die Produktion -- hardware-basiertes Entsperren bietet den stärksten Schutz gegen Remote-Kompromittierung
  • Rotieren Sie Zugangsdaten regelmäßig -- verwenden Sie yeepilot vault rotate, um Geheimnisse nach einem Zeitplan zu aktualisieren
  • Bewahren Sie Backups auf -- der Löschschutz des Tresors ist ein letzter Ausweg; führen Sie immer sichere Backups kritischer Zugangsdaten
  • Gesperrt starten -- behalten Sie start_locked: true bei, damit Zugangsdaten nie ohne explizite Authentifizierung verfügbar sind
Zurück

Sandbox & Ausführungsisolation

Security

Weiter

Konfigurationsreferenz

Configuration

Zugangsdatentresor - DevOps-first Server Management mit YeePilot – YeePilot Docs | YeePilot